Comprender las reglas de firewall en UniFi

Para configurar las reglas de firewall en el controlador de red UniFi, navegue a Configuración (clásica) > Enrutamiento y firewall> Firewall como se muestra:

Las reglas están actualmente agrupadas por tipo de red en tres grupos: WAN , LAN y GUEST . Las redes de tipo corporativo definidas en el controlador usan las reglas de LAN , las redes de tipo Invitado las reglas de GUEST y las redes de tipo WAN usan las reglas de WAN . El mismo conjunto de reglas se aplica a todas las interfaces de ese tipo. Eso puede ser algo confuso para quienes están acostumbrados a un conjunto de reglas por interfaz específica, pero se puede lograr lo mismo con cualquier metodología. El enfoque IN / OUT / LOCAL proporciona más granularidad general.

Reglas Local, In, and Out

WAN LOCAL/LAN LOCAL/GUEST LOCAL

Los conjuntos de reglas LOCALES son para el tráfico destinado a las direcciones de interfaz de USG .

LAN

Una configuración de red corporativa con una IP de LAN de 192.168.1.1/24:

El tráfico procedente de hosts con direcciones en el rango de IP 192.168.1.2-254 destinado a 192.168.1.1 alcanzará las reglas de LAN_LOCAL.

WAN

Una configuración en la que el USG tiene una IP WAN de 100.64.1.1:

El tráfico proveniente de hosts en Internet con un destino de 100.64.1.1 y un puerto o protocolo de destino alcanzará las reglas bajo WAN_LOCAL.

GUEST

Una configuración de red de invitados con una IP LAN de 192.168.2.1/24:

El tráfico proveniente de hosts invitados con direcciones en el rango de IP 192.168.2.2-254 destinado a 192.168.2.1 alcanzará las reglas bajo GUEST_LOCAL.

WAN IN/LAN IN/GUEST IN

Las reglas IN se aplican al tráfico que ingresa a la (s) interfaz (es) en cuestión y destina a una interfaz diferente.

LAN

Las reglas se aplican al tráfico iniciado desde hosts en redes LAN corporativas C que están destinadas a cualquier otra red (generalmente Internet, pero también tráfico enrutado entre VLAN y LAN / LAN2).

WAN

Las reglas bajo WAN_IN generalmente se ven afectadas por el tráfico de retorno destinado a los hosts en la LAN de USG. A veces, el tráfico nuevo o no solicitado también se filtra en este conjunto de reglas.

GUEST

Las reglas se aplican al tráfico iniciado desde los hosts en las LAN de la red de invitados que están destinadas a cualquier otra red (generalmente Internet, pero también el tráfico enrutado entre las VLAN y LAN / LAN2).

WAN OUT/LAN OUT/GUEST

Las reglas OUT se aplican al tráfico que sale de la (s) interfaz (es) en cuestión. Las reglas de SALIDA predeterminadas permiten la salida de todo el tráfico, el filtrado debe ocurrir en la dirección "ENTRADA". No es necesario pasar el tráfico en la ruta de ENTRADA si solo se va a bloquear en la SALIDA. Es una buena práctica dejar caer el tráfico lo antes posible y no hacer que consuma recursos más de lo necesario. Hay casos extremos poco comunes en los que una regla OUT puede adaptarse mejor a un objetivo específico, pero la mayoría de las veces, se debe usar el conjunto de reglas IN.

Para obtener instrucciones, piense en ello desde la perspectiva del USG: el tráfico IN es el tráfico que ingresa a la interfaz (y está destinado a dejar fuera una interfaz diferente). LOCAL es el tráfico que ingresa a la interfaz que está destinada a la dirección de interfaz del USG. OUT es el tráfico que sale de esa interfaz y está destinado a un dispositivo en esa red.

Reglas predefinidas de LAN, GUEST y WAN

LAN

Aunque no está visible en el Controlador, cada uno de los tres conjuntos de reglas de LAN tiene una acción predeterminada de "Aceptar". Los administradores de UniFi pueden tener que crear una regla de caída y colocarla en consecuencia para una mayor seguridad y / o cumplimiento.

  • LAN_IN: las reglas predefinidas permitirán todo el tráfico saliente sin restricciones: LAN a otras LAN, LAN a Internet, incluso LAN a redes de tipo "Invitado".
  • LAN_LOCAL: las reglas predefinidas permitirán que cualquier host en una red de tipo "Corporativo" acceda a servicios en el propio USG (por ejemplo, SSH, DNS, RADIUS, etc.).
  • LAN_OUT: la regla predefinida permitirá todo el tráfico entrante destinado a hosts en redes de tipo "Corporativo".

GUEST

Aunque no están visibles en el controlador, los conjuntos de reglas GUEST_IN y GUEST_OUT tienen una acción predeterminada de "Aceptar". GUEST_LOCAL tiene una acción predeterminada de "soltar".

  • Guest_IN: las reglas predefinidas permiten el tráfico necesario para que funcione el portal de invitados; pero bloqueará el tráfico destinado a redes corporativas, todas las redes restringidas definidas en "Control de invitados" y subredes VPN de usuario remoto. Permitirá todo lo demás (para el tráfico de Internet).
  • Guest_LOCAL: las reglas predefinidas permiten DNS, ping y tráfico destinado al redirector al propio USG . Las reglas se agregan automáticamente a GUEST_LOCAL para permitir el tráfico para la autenticación y la contabilidad RADIUS.
  • Guest_OUT: la regla predefinida permitirá todo el tráfico entrante destinado a hosts en redes de tipo "Guest".

WAN

Las reglas se agregan automáticamente a WAN_IN para permitir el tráfico para los puertos configurados hacia adelante y la configuración de bloqueo de DPI. Las reglas se agregan automáticamente a WAN_LOCAL para permitir el tráfico de las redes VPN de usuarios remotos configuradas.

  • WAN_IN: las reglas predefinidas solo permiten el tráfico de respuesta establecido / relacionado (por ejemplo, respuestas al tráfico iniciado desde una red interna).
  • WAN_LOCAL: las reglas predefinidas solo permiten el tráfico establecido / relacionado entrante al propio USG.
  • WAN_OUT: la regla predefinida es una acción oculta predeterminada de aceptar.
¿Encontró su respuesta?